為無法使用 IAM 角色的工作負載建立 IAM 使用者 - AWS Identity and Access Management
若要為無法使用 IAM 角色的工作負載建立 IAM 使用者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為無法使用 IAM 角色的工作負載建立 IAM 使用者

重要

最佳實務是,我們建議您要求人類使用者在存取時使用臨時登入資料 AWS。

或者,您可以使用 管理您的使用者身分,包括您的管理使用者AWS IAM Identity Center。我們建議您使用 IAM Identity Center 來管理對帳戶和這些帳戶中許可的存取。如果使用的是外部身分提供者,也可以在 IAM Identity Center 中設定使用者身分的存取許可。

如果您的使用案例需要具有程式化存取權和長期憑證的 IAM 使用者,則建議您建立程序,以在需要時更新存取金鑰。如需詳細資訊,請參閱更新存取金鑰

若要執行一些帳戶和服務管理任務,必須使用根使用者憑證來登入。若要檢視您必須以根使用者身分登入的任務,請參閱需要根使用者憑證的任務

若要為無法使用 IAM 角色的工作負載建立 IAM 使用者

最低許可

若要執行下列步驟,您至少必須擁有下列 IAM 許可:

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateAccessKey

  • iam:CreateGroup

  • iam:CreateServiceSpecificCredential

  • iam:CreateUser

  • iam:GetAccessKeyLastUsed

  • iam:GetAccountPasswordPolicy

  • iam:GetAccountSummary

  • iam:GetGroup

  • iam:GetLoginProfile

  • iam:GetPolicy

  • iam:GetRole

  • iam:GetUser

  • iam:ListAccessKeys

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListInstanceProfilesForRole

  • iam:ListMFADevices

  • iam:ListPolicies

  • iam:ListRoles

  • iam:ListRoleTags

  • iam:ListSSHPublicKeys

  • iam:ListServiceSpecificCredentials

  • iam:ListSigningCertificates

  • iam:ListUserPolicies

  • iam:ListUserTags

  • iam:ListUsers

  • iam:UploadSSHPublicKey

  • iam:UploadSigningCertificate

顯示較多顯示較少
Console

  1. 按照《AWS ‭‬ 登入使用者指南》‭‬如何登入 AWS‭‬ 主題中適合您使用者類型的登入程序操作。

  2. IAM 主控台首頁的左側導覽窗格中,在搜尋 IAM 文字方塊中輸入您的查詢。

  3. 在導覽窗格中,選擇使用者,然後選擇建立新使用者

  4. 指定詳細資訊頁面上,執行下列動作:

    1. 對於使用者名稱,輸入 WorkloadName。將 WorkloadName 替換為將使用帳戶的工作負載的名稱。

    2. 選擇下一步

  5. 設定許可頁面上,執行下列動作:

    1. 選擇將使用者新增至群組

    2. 選擇建立群組

    3. 建立使用者群組對話方塊的使用者群組名稱中,輸入代表工作負載在群組中的用途的名稱。在此範例中,使用名稱 Automation

    4. 許可政策下,選取 PowerUserAccess 受管政策的核取方塊。

      提示

      許可政策搜尋方塊中輸入 Power,以快速尋找受管政策。

    5. 選擇建立使用者群組

    6. 回到包含 IAM 群組清單的頁面,選取新使用者群組的核取方塊。如果沒有在清單中看到新使用者群組,選擇重新整理

    7. 選擇下一步

  6. (選用) 在標籤區段,透過將標籤做為鍵值對連接,將中繼資料新增到使用者。如需詳細資訊,請參閱 AWS Identity and Access Management 資源的標籤

  7. 驗證新使用者的使用者群組成員資格。準備好繼續時,選擇建立使用者

  8. 此時將顯示一則狀態通知,告知您使用者已成功建立。選取檢視使用者以前往使用者詳細資訊頁面

  9. 選取安全憑證索引標籤。然後建立工作負載所需的憑證。

    • 存取金鑰:選取建立存取金鑰可產生並為使用者下載存取金鑰。

      重要

      這是您檢視或下載私密存取金鑰的唯一機會,您必須先將此資訊提供給使用者,然後他們才能使用 AWS API。請將使用者的新存取金鑰 ID 和私密存取金鑰存放在安全處。在此步驟之後,您將無法再存取該私密金鑰。

    • 的 SSH 公有金鑰 AWS CodeCommit – 選取上傳 SSH 公有金鑰以上傳 SSH 公有金鑰,讓使用者可以透過 SSH 與 CodeCommit 儲存庫通訊。

    • 的 HTTPS Git 登入資料 AWS CodeCommit – 選取產生登入資料以產生一組唯一的使用者登入資料,以便與 Git 儲存庫搭配使用。選取下載憑證可將使用者名稱和密碼儲存至 .csv 檔案。這是唯一可取得資訊的時機。如果忘記或遺失密碼,則需要重設。

    • Amazon Keyspaces (適用於 Apache Cassandra) 的憑證:選取產生憑證產生服務特定的使用者憑證,以搭配 Amazon Keyspaces 使用。選取下載憑證可將使用者名稱和密碼儲存至 .csv 檔案。這是唯一可取得資訊的時機。如果忘記或遺失密碼,則需要重設。

      重要

      服務特定憑證是與特定 IAM 使用者關聯的長期憑證,只能用於為其建立的服務。若要授予 IAM 角色或聯合身分使用暫時登入資料存取所有 AWS 資源的許可,請使用身分 AWS 驗證搭配 Amazon Keyspaces 的 SigV4 身分驗證外掛程式。如需詳細資訊,請參閱《Amazon Keyspaces (適用於 Apache Cassandra) 開發人員指南》中的透過 IAM 角色和 SigV4 外掛程式使用臨時憑證連線到 Amazon Keyspaces (適用於 Apache Cassandra)

    • X.509 簽署憑證 – 如果您需要提出安全的 SOAP 通訊協定請求,且位於 不支援的區域,請選取建立 X.509 憑證 AWS Certificate Manager。ACM 為佈建、管理和部署伺服器憑證的首選工具。如需有關使用 ACM 的詳細資訊,請參閱《AWS Certificate Manager 使用者指南》

您已建立具有程式化存取權的使用者,並使用 PowerUserAccess 任務函數對其進行設定。此使用者的許可政策授予每個服務的完整存取權,IAM 和 除外 AWS Organizations。

如果工作負載無法擔任 IAM 角色,您可以使用這個相同的程序,讓其他工作負載以程式設計方式存取您的 AWS 帳戶 資源。此程序使用 PowerUserAccess 受管政策指派許可。若要遵循最低權限的最佳實務,請考慮使用更嚴格的政策或建立自訂政策,限制僅存取程式所需的資源。若要了解如何使用將使用者許可限制為特定 AWS 資源的政策,請參閱 AWS 資源的存取管理以身分為基礎的 IAM 政策範例。若要在建立使用者群組之後向其中新增其他使用者,請參閱編輯 IAM 群組中的使用者

AWS CLI

  1. 建立名為 Automation 的使用者。

    
              aws iam create-user \
                  --user-name Automation

  2. 建立名為 的 IAM 使用者群組AutomationGroup,將 AWS 受管政策連接至PowerUserAccess群組,然後將Automation使用者新增至群組。

    注意

    「AWS 受管政策」為獨立的政策,由 AWS建立並管理。每個政策都有自己的 Amazon Resource Name (ARN),其中包含政策名稱。例如, arn:aws:iam::aws:policy/IAMReadOnlyAccess 是 AWS 受管政策。如需有關 ARN 的詳細資訊,請參閱 IAM ARN。如需 的 AWS 受管政策清單 AWS 服務,請參閱 AWS 受管政策

    • aws iam create-group 

      
                  aws iam create-group \
                      --group-name AutomationGroup

    • aws iam attach-group-policy

      
                  aws iam attach-group-policy \
                      --policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
                      --group-name AutomationGroup

    • aws iam add-user-to-group 

      
                 aws iam add-user-to-group \
                     --user-name Automation \
                     --group-name AutomationGroup

    • 執行 aws iam get-group 命令會列出 AutomationGroup 及其成員。

      
                aws iam get-group \
                     --group-name AutomationGroup

  3. 建立工作負載所需的安全憑證。

    • 建立用於測試的存取金鑰aws iam create-access-key

      
                       aws iam create-access-key \
                           --user-name Automation

      此命令的輸出中包含私密存取金鑰和存取金鑰 ID。記錄此資訊並存放在安全的位置。這些憑證一旦遺失,就無法復原,您必須建立新的存取金鑰。

      重要

      這些 IAM 使用者存取金鑰是長期憑證,會對您的帳戶造成安全風險。完成測試後,建議刪除這些存取金鑰。如果您遇到正在考慮使用存取金鑰的情況,請調查是否可以為工作負載 IAM 使用者啟用 MFA,並使用 aws sts get-session-token 取得工作階段的臨時憑證,而不要使用 IAM 存取金鑰。

    • 上傳 SSH 公有金鑰給 AWS CodeCommitaws iam upload-ssh-public-key

      下列範例假設您將 SSH 公有金鑰存放在 sshkey.pub 檔案中。

      
                       aws upload-ssh-public-key \
                           --user-name Automation \
                           --ssh-public-key-body file://sshkey.pub

    • 上傳 X.509 簽署憑證aws iam upload-signing-certificate

      如果您需要提出安全的 SOAP 通訊協定請求,且位於 不支援的區域,請上傳 X.509 憑證 AWS Certificate Manager。ACM 為佈建、管理和部署伺服器憑證的首選工具。如需有關使用 ACM 的詳細資訊,請參閱《AWS Certificate Manager 使用者指南》

      下列範例假設您將 X.509 簽署憑證存放在 certificate.pem 檔案中。

      
                      aws iam upload-signing-certificate \
                      --user-name Automation \
                      --certificate-body file://certificate.pem

如果工作負載無法擔任 IAM 角色,您可以使用這個相同的程序,讓其他工作負載以程式設計方式存取您的 AWS 帳戶 資源。此程序使用 PowerUserAccess 受管政策指派許可。若要遵循最低權限的最佳實務,請考慮使用更嚴格的政策或建立自訂政策,限制僅存取程式所需的資源。若要了解如何使用將使用者許可限制為特定 AWS 資源的政策,請參閱 AWS 資源的存取管理以身分為基礎的 IAM 政策範例。若要在建立使用者群組之後向其中新增其他使用者,請參閱編輯 IAM 群組中的使用者